Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für sensible Anwendungen
Einrichten der Laborumgebung für AD FS unter Windows Server 2012 R2
Konfigurieren zusätzlicher Authentifizierungsmethoden für AD FS
Inhalt dieser Anleitung
Dieses Handbuch enthält die folgenden Informationen:
Authentifizierungsmechanismen in AD FS: Beschreibung der in Active Directory-Verbunddienste (AD FS) (AD FS) unter Windows Server 2012 R2 verfügbaren Authentifizierungsmechanismen.
Szenarioübersicht: Beschreibung eines Szenarios, in dem Active Directory-Verbunddienste (AD FS) zum Aktivieren der Multi-Faktor-Authentifizierung (MFA) basierend auf der Gruppenmitgliedschaft eines Benutzers verwendet wird.
Hinweis
In AD FS unter Windows Server 2012 R2 können Sie die MFA auf Grundlage der Netzwerkadresse, Geräteidentität und Benutzeridentität oder der Gruppenmitgliedschaft aktivieren.
Ausführliche Schritt-für-Schritt-Anweisungen zum Konfigurieren und Überprüfen dieses Szenarios finden Sie unter Exemplarische Vorgehensweise: Verwalten von Risiken mit zusätzlicher Multi-Faktor-Authentifizierung für sensible Anwendungen.
Wichtige Konzepte – Authentifizierungsmechanismen in AD FS
Vorteile der Authentifizierungsmechanismen in AD FS
Active Directory-Verbunddienste (AD FS) unter Windows Server 2012 R2 bietet IT-Administratoren vielfältigere, flexiblere Tools für die Authentifizierung von Benutzern, die auf Unternehmensressourcen zugreifen möchten. Mit ihnen können Administratoren die primären und zusätzlichen Authentifizierungsmethoden flexibel steuern. Darüber hinaus bieten die Tools umfassende Verwaltungsmöglichkeiten zum Konfigurieren von Authentifizierungsrichtlinien (über die Benutzeroberfläche und Windows PowerShell) und verbessern die Benutzerfreundlichkeit für Endbenutzer, die auf durch AD FS gesicherte Anwendungen und Dienste zugreifen. Im Folgenden sind einige Vorteile aufgeführt, die beim Sichern Ihrer Anwendungen und Dienste mit AD FS unter Windows Server 2012 R2 entstehen:
Globale Authentifizierungsrichtlinie – eine zentrale Verwaltungsfunktion. Hier kann der IT-Administrator auswählen, mit welchen Authentifizierungsmethoden Benutzer basierend auf der Netzwerkadresse, über die sie auf geschützte Ressourcen zugreifen, authentifiziert werden. Dies ermöglicht Administratoren Folgendes:
Erzwingen der Verwendung sichererer Authentifizierungsmethoden für Zugriffsanforderungen über das Extranet
Aktivieren der Geräteauthentifizierung für nahtlose zweistufige Authentifizierung. Dabei wird die Identität des Benutzers mit dem registrierten Gerät verknüpft, mit dem auf die Ressource zugegriffen wird, und eine sicherere Überprüfung der Verbundidentität vor dem Zugriff auf geschützte Ressourcen ermöglicht.
Hinweis
Weitere Informationen zu Geräteobjekt, Geräteregistrierungsdienst, Arbeitsplatzbeitritt und Gerät für die nahtlose zweistufige Authentifizierung und SSO finden Sie unter Arbeitsplatzbeitritt von einem beliebigen Gerät für SSO und nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen.
Legen Sie die MFA-Anforderung für den gesamten Extranetzugriff oder bedingt auf Grundlage der Benutzeridentität, der Netzwerkadresse oder eines Geräts fest, mit dem auf geschützte Ressourcen zugegriffen wird.
Höhere Flexibilität beim Konfigurieren von Authentifizierungsrichtlinien: Sie können benutzerdefinierte Authentifizierungsrichtlinien für mit AD FS gesicherte Ressourcen mit variierenden Geschäftswerten konfigurieren. Beispielsweise können Sie die MFA für Anwendungen mit großem Einfluss auf das Unternehmen erforderlich machen.
Benutzerfreundlichkeit: Mit einfachen und intuitiven Verwaltungstools wie dem GUI-basierten MMC-Snap-In für die AD FS-Verwaltung und den Windows PowerShell-Cmdlets können IT-Administratoren relativ einfach Authentifizierungsrichtlinien konfigurieren. Mit Windows PowerShell können Sie Ihre Lösungen für die Verwendung in unterschiedlichem Umfang schreiben und alltägliche Verwaltungsaufgaben automatisieren.
Bessere Kontrolle der Unternehmensdaten: Da Sie als Administrator mithilfe von AD FS eine Authentifizierungsrichtlinie konfigurieren können, die für eine bestimmte Ressource gilt, können Sie besser steuern, wie Unternehmensressourcen gesichert werden. Die von IT-Administratoren angegebenen Authentifizierungsrichtlinien können von Anwendungen nicht außer Kraft gesetzt werden. Für sensible Anwendungen und Dienste können Sie für jeden Zugriff auf die Ressource die MFA-Anforderung, Geräteauthentifizierung und optional die erneute Authentifizierung aktivieren.
Unterstützung für benutzerdefinierte MFA-Anbieter: Für Organisationen, die MFA-Methoden von Drittanbietern nutzen, bietet AD FS die Möglichkeit zum nahtlosen Einbinden und Verwenden dieser Authentifizierungsmethoden.
Authentifizierungsbereich
In AD FS unter Windows Server 2012 R2 können Sie eine Authentifizierungsrichtlinie für einen globalen Bereich festlegen, die für alle durch AD FS gesicherten Anwendungen und Dienste gilt. Sie können auch Authentifizierungsrichtlinien für bestimmte, durch AD FS gesicherte Anwendungen und Dienste (Vertrauensstellungen der vertrauenden Seite) festlegen. Wenn Sie eine Authentifizierungsrichtlinie für eine bestimmte Anwendung (pro Vertrauensstellung der vertrauenden Seite) angeben, wird dadurch nicht die globale Authentifizierungsrichtlinie außer Kraft gesetzt. Wenn von der globalen Authentifizierungsrichtlinie oder der pro Vertrauensstellung der vertrauenden Seite geltenden Authentifizierungsrichtlinie die MFA angefordert wird, wird die MFA ausgelöst, wenn der Benutzer versucht, sich für diese Vertrauensstellung der vertrauenden Seite zu authentifizieren. Die globale Authentifizierungsrichtlinie dient als Fallback für Vertrauensstellungen der vertrauenden Seite (Anwendungen und Dienste), für die keine spezielle Authentifizierungsrichtlinie konfiguriert wurde.
Eine globale Authentifizierungsrichtlinie gilt für alle durch AD FS gesicherten vertrauenden Seiten. Die folgenden Einstellungen können als Teil der globalen Authentifizierungsrichtlinie konfiguriert werden:
Die für die primäre Authentifizierung zu verwendenden Authentifizierungsmethoden
Einstellungen und Methoden für die MFA
Angabe, ob die Geräteauthentifizierung aktiviert ist. Weitere Informationen finden Sie unter Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.
Authentifizierungsrichtlinien für Vertrauensstellungen der vertrauenden Seite gelten speziell bei Versuchen, auf die Vertrauensstellung der vertrauenden Seite (Anwendung oder Dienst) zuzugreifen. Als Teil der Authentifizierungsrichtlinie, die pro Vertrauensstellung der vertrauenden Seite gilt, können die folgenden Einstellungen konfiguriert werden:
Angabe, ob Benutzer ihre Anmeldeinformationen bei jeder Anmeldung eingeben müssen
MFA-Einstellungen auf Grundlage von Benutzer/Gruppe, Geräteregistrierung und Standortdaten der Zugriffsanforderung
Primäre Authentifizierungsmethode und zusätzliche Authentifizierungsmethoden
Mit AD FS unter Windows Server 2012 R2 können Administratoren zusätzlich zum primären Authentifizierungsmechanismus weitere Authentifizierungsmethoden konfigurieren. Die primären Authentifizierungsmethoden sind integriert und dienen der Überprüfung der Benutzeridentität. Sie können zusätzliche Authentifizierungsstufen konfigurieren und damit fordern, dass weitere Informationen zur Identität des Benutzers bereitgestellt werden. Dadurch wird eine zuverlässigere Authentifizierung gewährleistet.
Die primäre Authentifizierung in AD FS unter Windows Server 2012 R2 bietet Ihnen folgende Optionen:
Für Ressourcen, die für den Zugriff von außerhalb des Unternehmensnetzwerks veröffentlicht wurden, wird automatisch die Formularauthentifizierung aktiviert. Darüber hinaus können Sie auch die Zertifikatauthentifizierung aktivieren (d. h. Smartcard-basierte Authentifizierung oder Benutzerclientzertifikat-Authentifizierung, die mit AD DS verwendet werden kann).
Für Intranetressourcen ist automatisch die Windows-Authentifizierung aktiviert. Sie können zusätzlich die Formular- und/oder die Zertifikatauthentifizierung aktivieren.
Durch die Auswahl mehrerer Authentifizierungsmethoden können Ihre Benutzer wählen, mit welcher Methode sie sich auf der Anmeldeseite für Ihre Anwendung oder Ihren Dienst authentifizieren.
Sie können auch die Geräteauthentifizierung für die nahtlose zweistufige Authentifizierung aktivieren. Dabei wird die Identität des Benutzers mit dem registrierten Gerät verknüpft, mit dem auf die Ressource zugegriffen wird, und eine sicherere Überprüfung der Verbundidentität vor dem Zugriff auf geschützte Ressourcen ermöglicht.
Hinweis
Weitere Informationen zu Geräteobjekt, Geräteregistrierungsdienst, Arbeitsplatzbeitritt und Gerät für die nahtlose zweistufige Authentifizierung und SSO finden Sie unter Arbeitsplatzbeitritt von einem beliebigen Gerät für SSO und nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen.
Wenn Sie die Windows-Authentifizierung (Standardoption) für Ihre Intranetressourcen festlegen, werden Authentifizierungsanforderungen in Browsern, die die Windows-Authentifizierung unterstützen, nahtlos dieser Methode unterzogen.
Hinweis
Die Windows-Authentifizierung wird nicht in allen Browsern unterstütz. Der Authentifizierungsmechanismus in AD FS unter Windows Server 2012 R2 ermittelt den Browserbenutzer-Agent des Benutzers und gibt mithilfe einer konfigurierbaren Einstellung an, ob dieser Benutzer-Agent die Windows-Authentifizierung unterstützt. Administratoren können diese Liste der Benutzer-Agents (über den Windows PowerShell-Befehl Set-AdfsProperties -WIASupportedUserAgents) ergänzen, um alternative Zeichenfolgen des Benutzer-Agenten für Browser anzugeben, die die Windows-Authentifizierung unterstützen. Wird die Windows-Authentifizierung vom Benutzer-Agent des Clients nicht unterstützt, wird als Standardfallbackmethode die Formularauthentifizierung festgelegt.
Konfigurieren der MFA
Die Konfiguration der MFA in AD FS unter Windows Server 2012 R2 besteht aus zwei Schritten: Angeben der Bedingungen, unter denen die MFA erforderlich ist, und Auswählen einer zusätzlichen Authentifizierungsmethode. Weitere Informationen über zusätzliche Authentifizierungsmethoden finden Sie unter Konfigurieren zusätzlicher Authentifizierungsmethoden für AD FS.
MFA-Einstellungen
Für MFA-Einstellungen (Bedingungen, unter denen die MFA erforderlich ist) stehen folgende Optionen zur Verfügung:
Sie können die MFA für bestimmte Benutzer und Gruppen in der AD-Domäne anfordern, der Ihr Verbundserver angehört.
Sie können die MFA für registrierte (mit dem Arbeitsplatz verbundene) oder nicht registrierte (nicht mit dem Arbeitsplatz verbundene) Geräte anfordern.
Unter Windows Server 2012 R2 wird ein benutzerorientierter Ansatz in Hinblick auf moderne Geräte verwendet. Dabei stellen Geräteobjekte eine Beziehung zwischen „user@device“ und einem Unternehmen dar. Geräteobjekte sind eine neue Klasse in AD unter Windows Server 2012 R2, mit der bei der Bereitstellung des Zugriffs auf Anwendungen und Dienste Verbundidentität angegeben werden kann. Mit dem Geräteregistrierungsdienst (Device Registration Service, DRS), einer neuen Komponente in AD FS, wird eine Geräteidentität in Active Directory bereitgestellt und ein Zertifikat auf dem Gerät des Verbrauchers festgelegt, mit dem die Geräteidentität dargestellt wird. Mithilfe dieser Geräteidentität kann das Gerät anschließend mit dem Arbeitsplatz verbunden werden, d. h. zwischen dem persönlichen Gerät und dem Active Directory Ihres Arbeitsplatzes wird eine Verbindung hergestellt. Wenn Sie Ihr persönliches Gerät mit dem Arbeitsplatz verbinden, wird es zu einem bekannten Gerät und stellt die nahtlose zweistufige Authentifizierung für geschützte Arbeitsplatzressourcen und -anwendung bereit. In anderen Worten: Nach dem Verbinden eines Geräts mit dem Arbeitsplatz ist die Identität des Benutzers mit diesem Gerät verknüpft und kann vor dem Zugriff auf eine geschützte Ressource für eine nahtlose Verbundidentitätsüberprüfung verwendet werden.
Weitere Informationen zum Arbeitsplatzbeitritt und dem Verlassen eines Arbeitsplatzes finden Sie unter Arbeitsplatzbeitritt von einem beliebigen Gerät für SSO und nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen.
Sie können die MFA verlangen, wenn die Zugriffsanforderung für die geschützten Ressourcen über das Extranet oder das Intranet erfolgt.
Übersicht über das Szenario
In diesem Szenario aktivieren Sie MFA auf Grundlage der Gruppenmitgliedschaftsdaten des Benutzers für eine bestimmte Anwendung. In anderen Worten: Sie richten eine Authentifizierungsrichtlinie auf dem Verbundserver so ein, dass die MFA erforderlich ist, wenn Benutzer aus einer bestimmten Gruppe Zugriff auf eine spezielle auf einem Webserver gehostete Anwendung anfordern.
Genauer gesagt aktivieren Sie in diesem Szenario eine Authentifizierungsrichtlinie für eine anspruchsbasierte Testanwendung namens claimapp. Dabei muss der AD-Benutzer Robert Hatley die MFA durchlaufen, da er zur AD-Gruppe Finance gehört.
Schritt-für-Schritt-Anweisungen zum Einrichten und Überprüfen dieses Szenarios finden Sie unter Exemplarische Vorgehensweise: Verwalten von Risiken mit zusätzlicher Multi-Faktor-Authentifizierung für sensible Anwendungen. Damit die Schritte in dieser exemplarischen Vorgehensweise ausgeführt werden können, müssen Sie eine Testumgebung einrichten und den Anweisungen unter Einrichten der Labumgebung für AD FS unter Windows Server 2012 R2.
Weitere Szenarien zum Aktivieren der MFA in AD FS umfassen folgende:
Aktivieren der MFA, falls die Zugriffsanforderung über das Extranet erfolgt. Sie können den unter Exemplarische Vorgehensweise: Verwalten von Risiken mit zusätzlicher Multi-Faktor-Authentifizierung für sensible Anwendungen im Abschnitt „Einrichten der MFA-Richtlinie“ angegebenen Code folgendermaßen anpassen:
'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'Aktivieren der MFA, falls die Zugriffsanforderung über ein Gerät erfolgt, das nicht mit dem Arbeitsplatz verbunden ist. Sie können den unter Exemplarische Vorgehensweise: Verwalten von Risiken mit zusätzlicher Multi-Faktor-Authentifizierung für sensible Anwendungen im Abschnitt „Einrichten der MFA-Richtlinie“ angegebenen Code folgendermaßen anpassen:
'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'Aktivieren der MFA, falls ein Benutzer über ein Gerät zugreifen möchte, das mit dem Arbeitsplatz verbunden, aber nicht für diesen Benutzer registriert ist. Sie können den unter Exemplarische Vorgehensweise: Verwalten von Risiken mit zusätzlicher Multi-Faktor-Authentifizierung für sensible Anwendungen im Abschnitt „Einrichten der MFA-Richtlinie“ angegebenen Code folgendermaßen anpassen:
'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
Weitere Informationen
Exemplarische Vorgehensweise: Verwalten von Risiken mit zusätzlicher Multi-Faktor-Authentifizierung für vertrauliche AnwendungenEinrichten der Labumgebung für AD FS unter Windows Server 2012 R2